[发明专利]一种漏洞处置修复优先级的统计方法

说明书

本发明提出一种漏洞处置修复优先级的统计方法，包括以下步骤：S1，获取资产价值L及漏洞脆弱性值V；S2，利用以下公式，将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S，S＝F(f(L)，g(V))；其中：f(L)为资产价值计算函数，g(V)为漏洞脆弱性值计算函数，F(f(L)，g(V))为关系函数。本发明结合多个维度的参数，实现从定性到定量的转变。

技术领域

本发明涉及漏洞处置技术领域，尤其是一种漏洞处置修复优先级的统计方法。

背景技术

随着用户对网络安全越来越重视，对资产管理与监控的需求也日趋强烈。资产脆弱性作为衡量资产安全性的一个指标，对其的重视程度也随之提升。其中，漏洞作为资产脆弱性衡量的主要因素之一，修复漏洞成为了安全防护建设中极为关键的一环。

在漏洞管理上，可能对于某些安全运维能力有限的用户，在系统上线后若发现存在大量的漏洞，就会导致用户对大量漏洞的管理比较困难、效率也比较低。一般的系统或标准中，根据漏洞自身的风险级别对漏洞进行定义，但随着用户对资产管理的要求的提升，在实际对漏洞的处理时，仅仅依据漏洞自身的风险级别是完全不够的，不能满足不同用户的实际需求。

根据国标GB/T 20984-2007，其中中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型，但并没有给出从定性到定量的方法论。

方法一：已有的一种风险矩阵评估法介绍如下：

1.定义S为漏洞风险值,L为资产价值，V为漏洞脆弱性值(采用CVSS分值)，F为关系函数。L的定义域为{1,2,3,4,5},V的定义域为[0.0,10.0]；

2.用风险矩阵资产风险值对应表，若有小数点则精确到小数点后一位，对照风险级别定级时，最终结果若为临界值则依照四舍五入原则划分。

方法二：另一种加权计算法介绍如下：

1.定义L为资产价值，V为漏洞脆弱性值(采用CVSS分值)，为其分配定义域：

L∈[L1,L2],V∈[V1,V2],

定义S为漏洞风险值，F为关系函数。则有：

S＝F(L，V)；(其中，不妨假设S的值域为[0,s])

2.为L和V分别分配权重系数M和N，则需满足：

根据国标GB/T 20984-2007，L的定义集合为{1,2,3,4,5}，V的定义域为[0.0,10.0]。例如实际实践中，可取s为100，用户自定义分配权重为0.4和0.6，则漏洞风险值S为：

S＝10×(L-1)+6×V

值域为[0,100],可分层进行优先级划分。

无论是方法一还是方法二，都存在如下不足：优先级分值的量化，修复优先级的归一化级别划属，两者无法很好的同时兼顾。数学模型过于简单，无法根据用户自定义引入多样化的参数、结合多种维度进行量化计算，因此难以满足用户不断增长的需求。为此本发明提供对漏洞整改处置中单一漏洞处置优先级计算的一种统计方法。

发明内容

本发明解决了现有技术优先级分值的量化以及修复优先级的归一化级别划属无法很好的同时兼顾的问题，提出一种漏洞处置修复优先级的统计方法，结合多个维度的参数，实现从定性到定量的转变。

为实现上述目的，提出以下技术方案：

一种漏洞处置修复优先级的统计方法，包括以下步骤：

S1，获取资产价值L及漏洞脆弱性值V；

S2，利用以下公式，将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S，